[samba-jp:22914] Samba 4.9.0 リリースノート翻訳(Re: Samba 4.9.0 がリリースされました)
TAKAHASHI Motonobu/高橋 基信
monyo @ monyo.com
2019年 1月 14日 (月) 19:21:49 JST
たかはしもとのぶです。
遅レスですが、冬休みの宿題?として、リリースノートの翻訳を
行ってみました。
<https://www.samba.org/samba/history/samba-4.9.0.html>
基本的には、AD関連の機能強化のみですね。
========================================================
"Former police chief of Houston once
said of me: “Frank Abagnale could write
a check on toilet paper, drawn on the
Confederate States Treasury, sign it
‘U.R. Hooked’ and cash it at any bank
in town, using a Hong Kong driver’s
license for identification.”
Frank W. Abagnale, Catch Me If You Can:
The True Story of a Real Fake
========================================================
Release Announcements
---------------------
=============================
Release Notes for Samba 4.9.0
September 13, 2018
=============================
これは、Samba 4.9 系列の最初の安定版リリースである。
アップグレード前に、以下のリリースノートを熟読すること。
新機能
======
'net ads setspn'
----------------
AD 上の Windows SPN を管理するための、'net ads setspn' サブコマンドが
新規にリリースされた。このコマンドにより、Windows の 'setspn.exe' が
提供する機能の基本的な部分が網羅される。これには、Windows AD の
コンピュータオブジェクトに格納された Windows SPN の追加、削除、一覧が
含まれる。
本コマンドの文法は次の通り:
net ads setspn list [machine]
net ads setspn [add | delete ] SPN [machine]
'machine' は対象となる AD 上のコンピュータアカウント名である。
'machine' が指定されなかった際は、コマンドを実行している 'client' 名が
代わりに使われる。
Windows SPN は、'serviceclass/host:port/servicename' (servicename と
port はオプション)という形式である。
サービスを指定する際は、通常 serviceclass/host を指定すれば十分である。
'net ads keytab' の変更
-----------------------
net ads keytab add は Windows 側の AD のコンピュータオブジェクトに
追加された Windows SPN に渡された serviceclass (nfs や html など)
の解析を行わなくなった。デフォルトで、keytab ファイルが変更される。
従来との互換性を保つために、keytab サブコマンドに 'add_update_ads'
が新規に追加された。
ただし、実際は新しい 'net ads setspn add' サブコマンドが代わりに
使われる。
net ads keytab create は keytab ファイルに存在するエントリからの
SPN 生成を試行しなくなった。Windows SPN を追加する必要がある場合は、
代わりに 'net ads setspn add' を使うこと。
MIT Kerberos用のローカル認可プラグイン
--------------------------------------
このプラグインは、Winbind による Kerberos のプリンシパルと AD 上の
アカウントとの連携を制御する。このモジュールは、 Kerberos の
プリンシパルおよびローカルアカウント名を入力として受け取り、両者が
マッチするかをチェックすることができる。これにより、Kerberos から AD
に返却される正規化された名前の解決に関する問題が解決される。
例えば、ユーザが 'alice' としてログインしようとしているが、
samAccountName が ALICE(大文字)となっている場合、Kerberos は
ユーザ名として ALICE を返却するが、Kerberos は 'alice' と 'ALICE' の
マッピングを行わないため、この場合認証は失敗する。このプラグインを
用いることで、アカウント名が適切にマッピングされる。これは GSSAPI
認証の場合のみ適用され、最初に ticket granting ticket を取得する際は
適用されない。
VFS audit モジュール
--------------------
vfs_full_audit モジュールのデフォルト値が変更され、監査対象となる
成功、失敗の操作が "all" から "none" となった。これにより、単に
モジュールを VFS objects パラメータに追加すると、DoS を引き起こして
しまうという潜在的な問題点が修正された。加えて、vfs_audit,
vfs_ext_audit, vfs_full_audit モジュールともに、マニュアルページに
記載の通り、syslog(3) の適切なファシリティを指定できるようになった。
データベースの監査サポート
--------------------------
Samba AD の sam.ldb データベースの変更が、Samba のデバッグログに記録
されるようになった。これは dsdb_audit もしくは dsdb_json_audit
デバッグクラスで行われる。後者の場合ログのエントリは JSON 形式で
記録される。
コミットおよびロールバックされたトランザクションが、Samba のデバッグ
ログに記録されるようになった。これは dsdb_transaction_audit もしくは
dsdb_transaction_json_audit デバッグクラスで行われる。後者の場合ログの
エントリは JSON 形式で記録される。
パスワード変更の監査サポート
----------------------------
AD DC 上でのパスワードの変更が、Samba のデバッグログに記録
されるようになった。これは dsdb_password_audit もしくは
dsdb_password_json_audit デバッグクラスで行われる。後者の場合ログの
エントリは JSON 形式で記録される。
グループ所属メンバ変更の監査サポート
--------------------------------------
AD DC 上でのグループ所属メンバの変更が、Samba のデバッグログに記録
されるようになった。これは dsdb_group_audit もしくは
dsdb_group_json_audit デバッグクラスで行われる。後者の場合ログの
エントリは JSON 形式で記録される。
認証期間の記録
--------------
NTLM および Kerberos KDC 認証ともに、認証の期間(duration)が記録
される。ただし、期間は JSON 形式のログにのみ含まれる。
AD DC における JSON ライブラリ Jansson 必須化
---------------------------------------------
Samba のビルドには、デフォルトで Jansson JSON ライブラリが必要と
なった。これは Samba AD の DC には必須であるが、--without-ad-dc で
ビルドする際には、configura の際に "--without-json-audit" を
オプションで指定することができる。
実験的な LMDB LDB パックエンドの新規サポート
--------------------------------------------
LMDB を用いた実験的な LDB バックエンドが新規に利用できるようになった。
これにより、4GB を超えるデータベースがサポートされた(現時点は、上限
6GB に設定されているが、これは将来のリリースで増加されるだろう)。
lmdb を有効化する際には、ドメインに join もしくは provision する際に
"--backend-store=mdb" オプションを指定する。
有効化には、バージョン 0.9.16 以上の lmdb のインストールおよび Samba
が "--without-ldb-lmdb" オプションでビルドされていないことが必要で
ある。
これは実験的な機能であり、運用環境での利用は推奨されてないことに
留意すること。
PSO(きめ細かいパスワードポリシー)
-----------------------------------
PSO のサポートが追加された。この機能は「きめ細かいパスワードポリシー
(FGPP)」とも呼ばれている。PSO により、AD の管理者は特定のユーザ、
グループに対して、ドメインのパスワードポリシー設定を上書きすることが
可能となる。例えば、PSO により、特定のユーザのみパスワード長を増やし、
他のユーザについては複雑さの制約を緩和させるといったことが可能となる。
PSO はグループもしくは個々のユーザ単位で適用することができる。
同一のユーザに複数の PSO が適用された場合、基本的には優先度がもっとも
高い PSO が有効となる。
PSO の設定およびユーザやグループへの適用については、
'samba-tool domain passwordsettings pso' コマンド群により行われる。
ドメインのバックアップおよびリストア
------------------------------------
新しい 'samba-tool' サブコマンドにより、管理者がドメインデータベースの
バックアップファイルを作成することが可能となった。ドメインに大惨事が
発生した際に、このバックアップファイルを用いて Samba サービスの復旧を
行うことができる。
新しい 'samba-tool domain backup online' コマンドにより、指定された
DC からドメインデータベースのスナップショットを取得できる。データ
ベースに大惨事が発生した際は、ドメインのすべての DC を停止させた
うえで、 'samba-tool domain backup restore' コマンドにより、
バックアップファイルを用いて新しい別の DC を構築する。
バックアップされたドメインデータベースが新しい DC にリストアされたら、
他 DC を順次新しい DC に参加させ、Samba の環境を移行する。
ドメイン名変更ツール
--------------------
Samba ドメインの名前変更に関する基本的なサポートが追加された。
名前変更機能は、以下のようなケースを想定している。
1). 通常のドメインに大惨事が発生した際、一時的に別ドメインを
運用する。まったく異なるドメイン名とレルム名を用いることで、
本来のドメインと一時的なドメインとが互いに干渉することなく並行運用
できるようにする。これは、通常の 'online' バックアップを作成する
ことによるメリットである。すなわち、別名のドメインは、本来の
ドメインのトラブルシューティングと並行して、Samba のコアネットワーク
サービスを提供できるのである。
2). 実環境と同等の実験用ドメイン、もしくはテスト用のドメインを
構築する。
今のところ、名前変更ツールは、長期にわたって名前を変更したままの
状態で運用を継続することは想定していない点に留意すること。また
今のところ、GPO の名前変更はサポートされておらず、手動で行う必要が
ある。
ドメイン名の変更は、以下の二段階で行われる。まず、
'samba-tool domain backup rename' コマンドにより、ドメインデータ
ベースのクローンを作成する際に、名前の変更処理が行われた状態の
バックアップファイルが作成される。ついで、
'samba-tool domain backup restore' コマンドにより、バックアップ
ファイルから、新規に構築した DC に、名前の変更が行われた状態の
データベースがリストアされる。
DRS 複製の問題を調査するための samba-tool の新規オプション
----------------------------------------------------------
'samba-tool drs showrepl' コマンドに、出力を制御するための新しい
オプションが二つ、追加された。--summary により、DRS の複製が順調な
際には、ほとんどの出力が抑止される。--json により、JSON 形式の
ログが生成される。これらのオプションは、各々目視およびバッチ処理を
想定している。
'samba-tool visualize uptodateness' により、DRS uptodateness ベクタに
基づくヒートマップ形式のマトリクスで、複製のタイムラグが視覚化される。
これにより、一部の DC で変更の複製が失敗しているかどうかを確認
できる(ただし、理由を確認できるわけではない)。
サイトカバレッジの自動化と GetDCName の改善
-------------------------------------------
> Samba's AD DC now automatically claims otherwise empty sites based on
> which DC is the nearest in the replication topology.
>
> This, combined with efforts to correctly identify the client side in
> the GetDCName Netlogon call will improve service to sites without a
> local DC.
'samba-tool computer' コマンドの改善
------------------------------------
'samba-tool computer' コマンドにより、コンピュータアカウントの操作が
可能となった。これには、新規アカウントの作成およびパスワードの
リセットが含まれる。これにより、Samba AD ドメインに対するメンバ
サーバもしくはワークステーションの「オフライン参加」が可能となる。
'samba-tool ou' コマンドの新規追加
----------------------------------
新しい 'samba-tool ou' コマンドにより、OU の管理が可能となる。
利用可能なコマンドは次の通り。
create - OU を作成する。
delete - OU を削除する。
list - すべての OU を列挙する。
listobjects - OU 内のすべてのオブジェクトを列挙する。
move - OU を移動する。
rename - OU の名前を変更する。
ou コマンドに加えて、ユーザおよびグループ管理にも、新しい
サブコマンドが追加され、OU を操作できるようになった。
group move - グループを OU もしくはコンテナに移動する。
user move - ユーザを OU またはコンテナに移動する。
user show - ユーザの AD オブジェクトを表示する。
Samba パフォーマンスツールが Windows AD に対しても利用可能に
------------------------------------------------------------
Samba AD のパフォーマンステストツールである 'traffic_reply' が
Windows ベースの AD ドメインに対しても利用可能となった。以前は、
Samba に対してのみ正常動作した。
DC 降格の際のDNS エントリ消去
-----------------------------
DNS レコードが 'samba-tool domain demote' の中で消去されるように
なった。これはデフォルトおよび '--remove-other-dead-server' モードの
いずれでも行われる。
加えて、DNS レコードの消去は、'samba-tool dns cleanup' コマンドで
指定された名前に対しても自動的に行われる。これは、中途半端に削除
された DC の消去に有用である。
samba-tool ntacl sysvolreset の高速化
-------------------------------------
'samba-tool ntacl sysvolreset' コマンドが Samba AD DC で実行された
際の速度が以前のバージョンよりも高速化した。これは、内部的な改善に
よる。
Samba のテストが GitLab 上の CI 化
----------------------------------
Samba 開発者は、GitLab 上でコミット前にテストを行うことが可能と
なった。これにより、レビュアーは投稿されたパッチが Samba Team 自身の
自動ビルドシステムに投稿される前に、すべての CI をパスしている
ことを確認できるようになった。
動的な DNS レコードの清掃(scavenging)サポート
-----------------------------------------
DNS ゾーンの清掃を有効化できるようになった。これにより、動的に生成
され、その後更新されていない DNS レコードが削除される。
ただし、この機能は、新規ゾーンの作成時もしくは新規インストール時に
のみ有効化できる。残念なことに、古い Samba では、BUG 12451 のため、
動的な DNS レコードが静的なものとして認識され、静的なレコードが
動的なものとして認識されてしまう。将来的には dbcheck のルールで
これらを識別できるようになるかもしれないが、現在のところ信頼性の
高い試験が行われていない。
最後に、この機能を有効化するコマンドラインツールは現在存在しない
ため、今のところ、この機能は Windows の DNS Manager から有効化
する必要がある。さらに、この機能を有効化するためには、smb.conf の
パラメータ "dns zone scavenging = yes" を有効にしておく必要がある。
信頼されるドメイン(AD DC における)のサポート改善
--------------------------------------------------
信頼されるドメイン、フォレストのサポートがさらに改善された、
推移的なフォレスト間信頼と同様、外部ドメインの信頼についても、
双方向(入力方向、出力方向)で、Kerberos 認証、NTLM 認証ともに
サポートされた。
以下が(4.8 と比較した)4.9 の新規機能となる。
- 信頼されたドメインのユーザやグループをドメイングループに追加
可能となった。グループのメンバ構成が信頼関係先に展開される。
- foreignSecurityPrincipal オブジェクト(FPO)が、信頼された
ドメインやフォレストのメンバ(SID)がグループに追加された際、
自動的に作成されるようになった。
- 'samba-tool group *members' コマンドにより、外部の SID による
メンバの指定が可能となった。
ただし、現時点ではまだ多少の制限事項が残っている。
- 信頼関係の双方は、互いに双方向の信頼関係を確立する必要がある。
- SID フィルタリングルールは適用されない。
- このため、ドメイン A の DCにドメイン B の管理者権限を付与する
ことができてしまう。※DC は管理者の誤り?
- 選択的(selective)な (CROSS_ORGANIZATION) 認証はサポートされて
いない。このような信頼関係の確立自体は可能だが、KDC や winbindd
はそれを無視する。
- Samba は引き続きシングルフォレストドメイン構成のみをサポートする。
CTDB の変更点
-------------
(基本的に CTDB を用いる開発者向けのため省略)
GPO の改善点
------------
'samba_gpoupdate' コマンド(Samba マシン自身にグループポリシーを適用
させる際に使われる)が、"samba_gpupdate" に名前が変更となり、文法に
ついても、Windows の同等のツールとの親和性が高いものに変更された。
REMOVED FEATURES
================
特になし。
smb.conf の変更点
=================
Samba がインストールされるプラットフォームの大半(Linux および
FreeBSD)では、拡張属性がデフォルトでサポートされているため、
インストール時のデフォルト設定における Windows ファイルサーバとの
互換性向上の目的で、"map readonly", "store dos attributes",
"ea support" のデフォルト値が変更された。
Parameter Name Description Default
-------------- ----------- -------
map readonly Default changed no
store dos attributes Default changed yes
ea support Default changed yes
full_audit:success Default changed none
full_audit:failure Default changed none
VFS インタフェースの変更
========================
VFS の ABI インタフェースのバージョンが 39 に変更された。変更のあった
関数は以下の通り。
SMB_VFS_FSYNC: Removed: Only async versions are used.
SMB_VFS_READ: Removed: Only PREAD or async versions are used.
SMB_VFS_WRITE: Removed: Only PWRITE or async versions are used.
SMB_VFS_CHMOD_ACL: Removed: Only CHMOD is used.
SMB_VFS_FCHMOD_ACL: Removed: Only FCHMOD is used.
外部 VFS モジュールを Samba 4.9 系列で動作させるためには、これらの
変更に追従するための更新が必要となる。
CHANGES SINCE 4.9.0rc5
======================
(以下詳細な変更点の記載は省略)
既知の問題点
============
https://wiki.samba.org/index.php/Release_Planning_for_Samba_4.9#Release_blocking_bugs
#######################################
Reporting bugs & Development Discussion
#######################################
Please discuss this release on the samba-technical mailing list or by
joining the #samba-technical IRC channel on irc.freenode.net.
If you do report problems then please try to send high quality
feedback. If you don't provide vital information to help us track down
the problem then you will probably be ignored. All bug reports should
be filed under the Samba 4.1 and newer product in the project's Bugzilla
database (https://bugzilla.samba.org/).
======================================================================
== Our Code, Our Bugs, Our Responsibility.
== The Samba Team
======================================================================
================
Download Details
================
The uncompressed tarballs and patch files have been signed
using GnuPG (ID 6F33915B6568B7EA). The source code can be downloaded
from:
https://download.samba.org/pub/samba/stable/
The release notes are available online at:
https://www.samba.org/samba/history/samba-4.9.0.html
Our Code, Our Bugs, Our Responsibility.
(https://bugzilla.samba.org/)
--Enjoy
The Samba Team
--
TAKAHASHI Motonobu/高橋 基信 <monyo @ monyo.com>
-----Original Message-----
From: Samba-JP oota <ribbon @ samba.gr.jp>
Sent: Thu, 13 Sep 2018 20:34:15 +0900
To: samba-jp @ samba.gr.jp
Subject: [samba-jp:22879] Samba 4.9.0 がリリースされました
リリースノートは
https://www.samba.org/samba/history/samba-4.9.0.html
です。
おおた@さんば
samba-jp メーリングリストの案内